Undersikers fan Claroty en JFrog hawwe de resultaten publisearre fan in feiligenskontrôle fan it BusyBox-pakket, in soad brûkt yn ynbêde apparaten en it oanbieden fan in set fan standert UNIX-helpprogramma's ferpakt yn ien útfierber bestân. Tidens de scan waarden 14 kwetsberens identifisearre, dy't al fêst binne yn 'e augustus-útjefte fan BusyBox 1.34. Hast alle problemen binne harmless en dubieuze út it eachpunt fan gebrûk yn echte oanfallen, om't se nedich rinnende nutsbedriuwen mei arguminten ûntfongen fan bûten.
In aparte kwetsberens is CVE-2021-42374, wêrtroch jo in ûntkenning fan tsjinst kinne feroarsaakje by it ferwurkjen fan in spesjaal ûntworpen komprimearre bestân mei it unlzma-hulpprogramma, en yn it gefal fan gearstalling mei de CONFIG_FEATURE_SEAMLESS_LZMA-opsjes, ek mei alle oare BusyBox-komponinten, ynklusyf tar, unzip, rpm, dpkg, lzma en man .
Kwetsberheden CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 en CVE-2021-42377 kinne in ûntkenning fan tsjinst feroarsaakje, mar fereaskje it útfieren fan 'e man, jiske en hush-helpprogramma's mei parameters oantsjutte troch de oanfaller. Kwetsberheden CVE-2021-42378 oant CVE-2021-42386 beynfloedzje it awk-hulpprogramma en kinne mooglik liede ta koade-útfiering, mar dêrfoar moat de oanfaller soargje dat in bepaald patroan yn awk wurdt útfierd (it is nedich om awk te rinnen mei gegevens ûntfongen fan oanfaller).
Dêrnjonken kinne jo ek in kwetsberens (CVE-2021-43523) yn 'e uclibc- en uclibc-ng-bibleteken notearje, fanwege it feit dat by tagong ta de funksjes gethostbyname(), getaddrinfo(), gethostbyaddr() en getnameinfo(), de domeinnamme wurdt net kontrolearre en skjinmakke namme weromjûn troch de DNS-tsjinner. Bygelyks, yn antwurd op in bepaald resolúsje-fersyk, kin in DNS-tsjinner kontrolearre troch in oanfaller hosts werombringe lykas "alert('xss').attacker.com" en se sille ûnferoare weromjûn wurde nei guon programma's dat, sûnder skjinmeitsjen kin werjaan se yn it web ynterface. It probleem waard repareare yn 'e frijlitting fan uclibc-ng 1.0.39 troch koade ta te foegjen om de krektens fan weromjûne domeinnammen te kontrolearjen, lykas ymplementearre as Glibc.
Boarne: opennet.ru